ESET Research : comment Amazon Echo et Kindle ont été KRACKés

Prochain article

Octobre, L’équipe de chercheurs d’ESET spécialisée dans les appareils connectés a récemment découvert que les célèbres enceintes Amazon Echo – l’appareil d’origine intégrant la technologie Alexa d’Amazon – étaient vulnérables à certaines des dix failles KRACK (acronyme de Key Reinstallation Attack, ou attaque de réinstallation de clé). Cela était également le cas pour au moins une génération des liseuses électroniques largement utilisées d’Amazon, Kindle. Les failles identifiées ont été signalées, puis colmatées par l’équipe de sécurité d’Amazon.

En 2017, deux chercheurs belges, Mathy Vanhoef et Frank Piessens, ont découvert de sévères failles dans le chiffrement WPA2, un protocole qui protégeait virtuellement tous les réseaux Wi-Fi à cette époque. Les attaques KRACK visaient principalement le four-way handshake, la procédure en quatre temps permettant à la fois de confirmer que le client et le point d’accès ont les bons mots de passe et de négocier la clé utilisée pour le chiffrement du trafic. Même aujourd’hui, deux ans plus tard, de nombreux appareils en Wi-Fi restent vulnérables aux attaques KRACK.

« Ces dernières années, des centaines de millions de foyers se sont dotés des dernières technologies et d’un accès Internet via l’un des nombreux assistants personnels connectés disponibles sur le marché. Malgré les efforts de certains fournisseurs pour développer ces appareils avec le souci de la sécurité, ceux-ci restent souvent vulnérables », explique Miloš Čermák, chercheur d’ESET. « Nous avons identifié plusieurs failles dans au moins trois appareils d’Amazon, ce qui aurait pu présenter un risque de sécurité à grande échelle au regard du nombre d’appareils vendus », affirme Miloš Čermák.

Les appareils Echo de 1ère génération et Kindle de 8e génération se sont révélés vulnérables à deux failles KRACK. Ces failles sont relativement sévères puisqu’elles permettent à un pirate d’exécuter une attaque par déni de service ; de décrypter toutes les données ou informations transmises par la victime ; de créer des paquets de données ou de contraindre l’appareil à rejeter des paquets voire à injecter de nouveaux paquets ; d’intercepter des informations sensibles telles que des mots de passe ou des cookies de session.

« Il convient de noter que les attaques KRACK, similaires à toute autre attaque contre les réseaux Wi-Fi, requièrent une proximité immédiate pour être efficaces », ajoute Miloš Čermák.

ESET a signalé toutes les vulnérabilités identifiées dans les appareils Echo et Kindle et a aidé l’équipe de sécurité d’Amazon pendant la correction de ces failles.

Pour plus d’informations, consultez l’article (en anglais) “What was wrong with Alexa? How Amazon Echo and Kindle got KRACKed.“ Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.

 

CONTACT PRESSE
Darina Santamaria - 01 86 27 00 39 - darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, ESET, 1er éditeur européen en solutions de cybersécurité est spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/na  Blog :  www.welivesecurity.com/fr/